A TrueConf hibája miatt ezrével csaptak le videókonferenciákra

A hackerek egy súlyos, eddig ismeretlen biztonsági rést kihasználva támadták meg a TrueConf videókonferencia-szervereket. A zéró-napos sebezhetőség lehetőséget adott a támadóknak, hogy tetszőleges fájlokat futtassanak minden csatlakozott eszközön, pusztán azért, mert a szoftver frissítési rendszerében nem volt integritás-ellenőrzés. Így a hivatalos frissítést könnyedén lecserélték rosszindulatú változatra: amint a szerver terjesztette az álfrissítést, az automatikusan lefutott a klienseken is.

Kritikus intézmények a célkeresztben

Több mint 100 ezer szervezet állt át a TrueConf használatára a COVID–19 idején, köztük hadseregek, kormányzati hivatalok, valamint energiaipari és légiforgalmi cégek is. A most felfedezett támadássorozat – TrueChaos néven ismert – főként délkelet-ázsiai kormányzati célpontokat veszélyeztetett. A támadók Kínához köthetők: eszközeik között szerepelt az Alibaba Cloud és a Tencent, amelyekkel a vezérlőszerver-infrastruktúrát rejtették el.

Hamis frissítések – valós veszély

Ha a támadó megszerezte a TrueConf szerver fölötti irányítást, tetszőleges programot csomagolhatott be frissítésként, amit a jogosult kliensek gond nélkül fogadtak el. Erős fertőzésre utaló jeleket is azonosítottak: például a poweriso.exe és a 7z-x64.dll jelenlétét, illetve gyanús fájlokat az AppData mappában. A teljes fertőzési lánc magában foglalja a jogosultságok emelését is, valamint olyan eszközök telepítését, mint a Havoc, amely képes távoli parancsok végrehajtására és további kártevők telepítésére.

Frissítés a védelem kulcsa

A Check Point szakértői már január óta figyelik a támadásokat, a szoftver fejlesztője pedig 2026 márciusában adta ki a javítást, a 8.5.3-as verzióban. Ettől függetlenül rengeteg szervezetet sebezhettek meg, amelyek még nem telepítették a frissítést. Emellett a jelentésben hasznos azonosítókat is közzétettek, amelyekkel gyorsan kiszűrhetők a kompromittált gépek.

2026, adrienne, www.bleepingcomputer.com alapján